Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Perusahaan besar lain terkena serangan ransomware

by

(CNN Business) – Accenture, perusahaan konsultan global, telah dihantam oleh geng ransomware LockBit, menurut situs web kelompok penjahat siber.

File terenkripsi Accenture (ACN) akan dirilis oleh grup di dark web pada hari Rabu kecuali perusahaan membayar uang tebusan, klaim LockBit, menurut tangkapan layar situs web yang ditinjau oleh CNN Business dan Emsisoft, sebuah perusahaan keamanan siber.

Stacey Jones, juru bicara Accenture, mengkonfirmasi insiden keamanan siber kepada CNN Business pada hari Rabu, tetapi tidak secara eksplisit mengakui serangan ransomware.

Geng ransomware LockBit pertama kali muncul pada September 2019, menurut profil grup Emsisoft. LockBit, seperti banyak geng ransomware lainnya, menyewakan perangkat lunak berbahayanya kepada afiliasi kriminal pihak ketiga yang kemudian menerima potongan tebusan sebagai imbalan untuk menanamkan kode ke jaringan korban.

Tahun berikutnya, Interpol memperingatkan lonjakan serangan menggunakan perangkat lunak berbahaya LockBit. Korban utama kelompok itu termasuk Merseyrail, jaringan kereta api Inggris, dan Press Trust of India, sebuah organisasi berita India, menurut Emsisoft.

Ransomware telah menjadi ancaman kritis bagi keamanan nasional dan ekonomi, kata pemerintah AS, di tengah serangkaian serangan terhadap target perusahaan dan infrastruktur. Awal tahun ini, serangan oleh kelompok DarkSide memaksa Colonial Pipeline untuk menutup operasi distribusi bahan bakarnya, menyebabkan kekurangan bensin secara nasional.

Selengkapnya: CNN

Kelompok spionase China menargetkan organisasi infrastruktur penting di Asia Tenggara

by

Sebuah kelompok spionase dunia maya yang diyakini beroperasi di luar China telah menargetkan setidaknya empat organisasi infrastruktur penting di negara Asia Tenggara, kata perusahaan keamanan Symantec dalam sebuah laporan pekan lalu.

Penyusupan terjadi antara November 2020 hingga Maret 2021 dan menargetkan:

  • perusahaan air
  • perusahaan listrik
  • perusahaan komunikasi
  • organisasi pertahanan

Symantec mengatakan menemukan bukti bahwa penyerang tertarik untuk menargetkan informasi tentang sistem SCADA, yang merupakan peralatan yang biasanya digunakan untuk mengontrol dan mengelola jalur produksi dan peralatan industri.

Para peneliti mengatakan mereka tidak dapat menentukan titik masuk penyerang ke dalam organisasi yang diretas tetapi mengatakan bahwa begitu di dalam, kelompok itu menunjukkan taktik canggih yang menyembunyikan operasi jahat menggunakan aplikasi yang sah — taktik yang dikenal sebagai LOLbins atau living-off-the-land. Alat yang disalahgunakan meliputi:

  • Windows Management Instrumentation (WMI)
  • ProcDump
  • PsExec
  • PAExec
  • Mimikatz

Selain itu, grup tersebut menggunakan pemutar multimedia gratis bernama PotPlayer Mini untuk memuat DLL berbahaya pada komputer yang disusupi, termasuk pintu belakang, keylogger, dan traffic proxying tool.

Penggunaan alat yang umum dan sah mempersempit jumlah informasi yang dapat dikumpulkan peneliti tentang kelompok tersebut.

Symantec mengatakan pihaknya hanya dapat menunjukkan dengan tepat serangan tersebut ke kelompok spionase yang berbasis di China tetapi tidak menemukan petunjuk tambahan untuk menghubungkan penyusupan tersebut dengan kelompok yang diketahui sebelumnya.

Perusahaan keamanan tidak menyebutkan nama negara tempat target yang diretas berada.

Selengkapnya: The Record

Mata-mata siber China ‘berpura-pura sebagai orang Iran sambil menargetkan pemerintah Israel’

by

Sebuah kelompok mata-mata siber dari China menyamar sebagai peretas Iran saat membobol dan memata-matai lembaga pemerintah Israel, menurut sebuah laporan baru oleh para peneliti keamanan.

Laporan dari perusahaan keamanan FireEye, yang membuka kedok kelompok itu bersama badan-badan pertahanan Israel, mengatakan tidak ada cukup bukti untuk menghubungkan kelompok spionase dengan negara China.

Namun, analis ancaman perusahaan yakin bahwa kelompok spionase adalah orang China dan bahwa targetnya “sangat menarik bagi tujuan keuangan, diplomatik, dan strategis Beijing”.

Upaya peretas untuk menyembunyikan kewarganegaraan mereka “sedikit tidak biasa”, menurut Jens Monrad, yang mengepalai divisi intelijen ancaman FireEye, Mandiant di EMEA.

“Kami telah melihat secara historis beberapa upaya bendera palsu. Kami melihat satu selama Olimpiade di Korea Selatan,” katanya kepada Sky News, merujuk pada peretas Rusia yang berpura-pura menjadi orang Cina dan Korea Utara.

“Mungkin ada beberapa alasan mengapa aktor ancaman ingin melakukan false flag – jelas itu membuat analisisnya sedikit lebih rumit,” kata Monrad kepada Sky News.

Mr Monrad mengatakan upaya untuk menyembunyikan identitas peretas “tidak terlalu pintar” tetapi memperlambat analisis perusahaan tentang insiden ini, yang dia tambahkan mungkin menjadi tujuannya.

Laporan tersebut berfokus pada mata-mata siber yang menargetkan lembaga pemerintah Israel, penyedia TI, dan entitas telekomunikasi, tetapi kelompok itu juga mencoba meretas jaringan komputer di UEA dan di tempat lain.

Selengkapnya: Sky News

Adobe memperbaiki kerentanan preauth yang kritis di Magento

by

Adobe telah merilis pembaruan keamanan Patch Tuesday besar yang memperbaiki kerentanan kritis di Magento dan bug penting di Adobe Connect.

Daftar lengkap Produk Adobe yang menerima pembaruan keamanan hari ini dan jumlah kerentanan yang diperbaiki di bawah ini:

Secara total, Adobe memperbaiki 29 kerentanan dengan pembaruan hari ini.

Hampir semua kerentanan Kritis dapat menyebabkan eksekusi kode, memungkinkan pelaku ancaman untuk menjalankan perintah pada komputer yang rentan.

Dari pembaruan keamanan Adobe yang dirilis hari ini, Magento memiliki perbaikan paling banyak, dengan 26 kerentanan.

Yang menjadi perhatian khusus adalah sepuluh kerentanan pra-otentikasi di Magento yang dapat dieksploitasi tanpa masuk ke situs.

Beberapa dari kerentanan preauth ini adalah eksekusi kode jarak jauh dan bypass keamanan, memungkinkan aktor ancaman untuk mengontrol situs dan servernya.

Meskipun tidak ada kerentanan zero-day yang diketahui secara aktif dieksploitasi, Adobe menyarankan pelanggan untuk memperbarui ke versi terbaru sesegera mungkin.

Urgensi ini karena aktor ancaman dapat membandingkan versi perangkat lunak yang lebih lama dengan versi yang ditambal untuk menentukan kode apa yang rentan dan membuat eksploitasi untuk menargetkan kerentanan ini.

Selengkapnya: BleepingComputer

Pembaruan keamanan Windows memblokir serangan relay PetitPotam NTLM

by

Microsoft telah merilis pembaruan keamanan yang memblokir serangan relay PetitPotam NTLM yang memungkinkan aktor ancaman untuk mengambil alih domain Windows.

Pada bulan Juli, peneliti keamanan GILLES Lionel, alias Topotam, mengungkapkan metode baru yang disebut PetitPotam yang memaksa pengontrol domain untuk mengautentikasi terhadap server aktor ancaman menggunakan fungsi API MS-EFSRPC.

Menggunakan vektor PetitPotam, aktor ancaman dapat menggunakan antarmuka Windows LSARPC untuk berkomunikasi dan menjalankan fungsi MS-EFSRPC API tanpa otentikasi. Fungsinya, OpenEncryptedFileRawA dan OpenEncryptedFileRawW, memungkinkan aktor ancaman untuk memaksa domain controller untuk mengautentikasi ke server relay NTLM di bawah kendali penyerang.

Pada bulan Juli, Microsoft merilis penasihat keamanan yang menjelaskan cara mengurangi serangan relay NTLM yang menargetkan Active Directory Certificate Services (AD CS).

Namun, Microsoft tidak memberikan informasi tentang pemblokiran vektor PetitPotam sampai peneliti menemukan cara mengamankannya menggunakan filter NETSH.

Sebagai bagian dari pembaruan Patch Tuesday Agustus 2021, Microsoft telah merilis pembaruan keamanan yang memblokir vektor PetitPotam (CVE-2021-36942), sehingga tidak dapat memaksa domain controller untuk mengautentikasi terhadap server lain.

Microsoft memperingatkan bahwa menginstal pembaruan ini dapat memengaruhi perangkat lunak cadangan yang menggunakan fungsi EFS API OpenEncryptedFileRaw(A/W).

Jika perangkat lunak cadangan Anda tidak lagi berfungsi setelah menginstal pembaruan ini pada Windows 7 Service Pack 1 atau Windows Server 2008 R2 Service Pack 1 dan yang lebih baru, Microsoft menyarankan Anda menghubungi pengembang perangkat lunak cadangan untuk mendapatkan versi yang diperbarui.

Selengkapnya: BleepingComputer

Microsoft memperbaiki kerentanan Windows Print Spooler PrintNightmare

by

Microsoft telah memperbaiki kerentanan PrintNightmare di Windows Print Spooler dengan mengharuskan pengguna memiliki hak administratif saat menggunakan fitur Point and Print untuk menginstal driver printer.

Pada bulan Juni, seorang peneliti keamanan secara tidak sengaja mengungkapkan kerentanan spooler cetak Windows zero-day yang dijuluki PrintNightmare (CVE-2021-34527). Ketika dieksploitasi, kerentanan ini memungkinkan eksekusi kode jarak jauh dan kemampuan untuk mendapatkan hak istimewa SISTEM lokal.

Microsoft segera merilis pembaruan keamanan yang memperbaiki komponen eksekusi kode jarak jauh tetapi tidak meningkatkan porsi hak istimewa lokal.

Namun, para peneliti dengan cepat menemukan bahwa sangat mungkin untuk mengeksploitasi fitur Point and Print untuk menginstal driver printer berbahaya yang memungkinkan pengguna dengan hak istimewa rendah untuk mendapatkan hak istimewa SISTEM di Windows.

Point and Print adalah fitur Windows yang memungkinkan pengguna untuk terhubung ke server printer, bahkan yang terhubung ke Internet jarak jauh, dan secara otomatis mengunduh dan menginstal driver printer server.

Dengan menggunakan fitur ini, peneliti keamanan Benjamin Delpy membuat server printer jarak jauh yang menginstal driver printer yang memungkinkan pengguna dengan hak istimewa rendah untuk membuka prompt perintah dengan hak istimewa SISTEM, seperti yang ditunjukkan dalam video di bawah ini.

Sebagai bagian dari pembaruan keamanan Patch Tuesday Agustus 2021 hari ini, Microsoft mengatasi kerentanan “PrintNightmare” ini dengan mengharuskan pengguna memiliki hak administrator untuk menginstal driver printer melalui fitur Point and Print.

Microsoft memperingatkan bahwa perubahan ini dapat berdampak pada organisasi yang sebelumnya mengizinkan pengguna non-admin untuk menambahkan atau memperbarui driver printer, karena mereka tidak lagi dapat melakukannya.

Selengkapnya: BleepingComputer

Microsoft Patch Tuesday bulan Agustus 2021 memperbaiki 3 zero-days, 44 kelemahan

by

Hari ini adalah Patch Tuesday Microsoft Agustus 2021, dan dengan itu datang perbaikan untuk tiga kerentanan zero-day dan total 44 kelemahan.

Microsoft telah memperbaiki 44 kerentanan (51 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tujuh diklasifikasikan sebagai Kritis dan 37 sebagai Penting.

Dari 44 kerentanan, 13 adalah eksekusi kode jarak jauh, 8 pengungkapan informasi, 2 penolakan layanan, dan 4 kerentanan spoofing.

Microsoft juga merilis pembaruan keamanan untuk dua kerentanan zero-day yang dinanti-nantikan yang ditemukan selama sebulan terakhir.

Salah satu pembaruan keamanan memperbaiki kerentanan PrintNightmare yang memungkinkan pelaku ancaman untuk mendapatkan hak istimewa tingkat SISTEM hanya dengan menghubungkan ke server print jarak jauh di bawah kendali mereka.

Microsoft telah memperbaiki kerentanan ini dengan mengharuskan pengguna yang memiliki hak administrator untuk menginstal driver printer menggunakan fitur Point and Print Windows.

Microsoft juga memperbaiki vektor serangan relay PetitPotam NTLM yang menggunakan API MS-EFSRPC untuk memaksa perangkat bernegosiasi dengan server relay jarak jauh di bawah kendali penyerang.

Microsoft menghimbau untuk menerapkan pembaruan sesegera mungkin.

Selengkapnya: BleepingComputer

Awas! Malware Android Baru Meretas Ribuan Akun Facebook

by

Sebuah trojan Android baru telah ditemukan menyusupi akun Facebook lebih dari 10.000 pengguna di setidaknya 144 negara sejak Maret 2021 melalui aplikasi penipuan yang didistribusikan melalui Google Play Store dan pasar aplikasi pihak ketiga lainnya.

Dijuluki “FlyTrap,” malware yang sebelumnya tidak terdokumentasi ini diyakini sebagai bagian dari keluarga trojan yang menggunakan trik rekayasa sosial untuk membobol akun Facebook sebagai bagian dari kampanye pembajakan sesi yang diatur oleh aktor jahat yang beroperasi di luar Vietnam, menurut sebuah laporan yang diterbitkan oleh zLabs Zimperium dan dibagikan dengan The Hacker News.

Meskipun sembilan aplikasi yang melanggar telah ditarik dari Google Play, mereka terus tersedia di toko aplikasi pihak ketiga, “menyoroti risiko aplikasi sideloaded untuk endpoint seluler dan data pengguna,” kata peneliti malware Zimperium Aazim Yaswant. Daftar aplikasi adalah sebagai berikut:

  • GG Voucher (com.luxcarad.cardid)
  • Vote European Football (com.gardenguides.plantingfree)
  • GG Coupon Ads (com.free_coupon.gg_free_coupon)
  • GG Voucher Ads (com.m_application.app_moi_6)
  • GG Voucher (com.free.voucher)
  • Chatfuel (com.ynsuper.chatfuel)
  • Net Coupon (com.free_coupon.net_coupon)
  • Net Coupon (com.movie.net_coupon)
  • EURO 2021 Official (com.euro2021)

Aplikasi jahat mengklaim menawarkan kode kupon Netflix dan Google AdWords dan memungkinkan pengguna memilih tim dan pemain favorit mereka di UEFA EURO 2020, yang berlangsung antara 11 Juni dan 11 Juli 2021, hanya dengan syarat mereka masuk dengan akun Facebook mereka untuk memberikan suara mereka, atau mengumpulkan kode kupon atau kredit.

Setelah pengguna masuk ke akun, malware dilengkapi untuk mencuri ID Facebook, lokasi, alamat email, alamat IP, dan cookie serta token yang terkait dengan akun Facebook korban, sehingga memungkinkan pelaku ancaman untuk melakukan kampanye disinformasi menggunakan detail geolokasi korban atau menyebarkan malware lebih lanjut melalui teknik rekayasa sosial dengan mengirimkan pesan pribadi yang berisi tautan ke trojan.

Selengkapnya: The Hacker News